在本周三發布的最新白皮書中，FireEye警告說，SolarWinds供應鏈攻擊中，黑客（美國情報服務和計算機安全機構認定是俄羅斯國家黑客組織）專門針對兩類人：能夠訪問高級信息的人和系統管理員。

　　該報告介紹了黑客使用的四種“主要技術”：

　　竊取Active Directory聯合身份驗證服務（AD FS）令牌簽名證書，并使用它為任意用戶偽造令牌，從而繞過各種身份驗證要求。

　　在Azure AD中修改或添加受信任的域，以添加由攻擊者控制的新的聯合身份提供程序（IdP）在網絡上創建后門。

　　入侵與Microsoft 365同步的高特權本地用戶賬戶（例如，全局管理員或應用程序管理員）。

　　通過添加新的應用程序或服務主體賬戶來對現有的Microsoft 365應用程序進行后門操作，以便使用分配給該應用程序的合法權限，例如能夠讀取電子郵件，以任意用戶身份發送電子郵件、訪問用戶日歷等。

　　至于緩解措施，FireEye廣泛建議，審查所有系統管理員賬戶，特別是查看是否有任何“已配置或添加到特定服務主體的賬戶”并刪除它們，然后搜索可疑的應用程序憑據并將其刪除。該公司還在GitHub上發布了一個名為“Azure AD調查器”的免費檢測工具（https://github.com/fireeye/Mandiant-Azure-AD-Investigator），該工具能夠檢測企業網絡是否被SolarWinds Orion的后門軟件入侵。